.: Temaer :: Hvad er GRC?

GRCinTheCloud

It-branchen vælter sig i forkortelser - og nogle af dem glemmer vi hurtigere end andre. En der dukkede mere op i Danmark i 2009, og som har chancer for at blive hængende længere tid, er GRC: Governance, Risk- og Compliance management. IT delen af GRC omfatter :

  • Governance: It-ledelse, it-sikkerhedsledelse, tilpasning af it og it-sikkerhed med forretningsmål, ISMS, sikkerhedspolitikker, beredskabsplaner, forankring, awareness-kampagner med mere.
  • Risk Management: Hvor stor er organisationens "risikoappetit".  Hvordan afhænger forretningen af it og hvad gør ondt på forretningen (konsekvensvurdering, "BIA"). Og hvor sandsynligt er det, at det sker? Hvordan håndterer organisationen dens risici?
  • Compliance Management: Identifikation og aktivitetger der sikrer efterlevelse (helt eller delvist) af kravsæt eller anbefalinger, der typisk er i  form af lovgivning, kundekrav eller standarder for et område eller for en branche.

GRC-begrebet er givetvist overlevelsesdygtigt fordi langt de fleste, hvis ikke alle, organisationer har brug for de tre begreber hver for sig. En anden årsag til den store interesse for GRC er, at IT GRC hjælper med - eller er måske ligefrem er en forudsætning for - sikker cloud computing.

Wikipedia om GRC...

Aberdeen undesøger effektivitet i GRC (hent gratis rapport)

IT GRC kan hjælpe med at sikre cloud computing

Lad os tage et hurtigt kig på hver af de tre GRC-søjler i forbindelse med cloud computing.

IT Governance:

Beslut formål, strategi og operationelle regler for anvendelse af cloud-services. Dvs. opdatér jeres politik/regler/håndbøger til at skabe klarhed på området.

Risikovurdering og -styring:

  • Konsekvensvurdér: Kig på de forretningsprocesser der afhænger eller skal afhænge af cloud-baserede services.
  • Sårbarhedsvurdér: Undersøg cloud leverandørens sårbarhed. Gennemgå sikkerhedsdokumentation og vilkårene i den aftale i tilbydes, eller allerede har.
  • ISO 27005 er velegnet til denne form for vurdering.

Compliance

I skal nok ikke have alt jeres data ud i skyen - i hvert fald ikke til at begynde med. Data-klassificering hjælper jer på vej. Husk også, at der er forskel på persondata - persondata i skyen er ikke forbudt som udgangspunkt. Men I vælge en leverandør der vil bekytte ordentligt.

IT Compliance er ikke kun efterlevelse af it-relevant lovgivning. Det er også efterlevelse af egne krav, kunders krav eller partneres krav til jeres virksomhed. For eksempel sikkerhedskrav der er udtrykt i kontrakter eller beslutninger om at følge god skik, best practices eller bestemte standarder.

Mere om cloud computing og sikkerhed.

Mere om IT governance med SecureAware Policy og BCP

Mere om risikostyring med SecureAware Risk TNG

Mere om SecureAware Compliance

 

Sådan hjælper vi

Neupart hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Mere

SecureAware Box 50

Download

pdf-icon

Brochure

User-manager-icon-50

Mød Neupart

Kontakt Neupart

Email

Support  Salg  Tilmeld nyhedsbrev

Telefon

+45 7025 8030